高職院校網絡安全體系研究

毛方明

浙江農業商貿職業學院 浙江 312000

0 引言

校園網絡的應用是衡量高職院校辦學效果的重要指標，而其安全性則是影響成效的至關重要因素。在現有基礎上，如何讓不斷膨脹的數據信息流與網絡系統安全達到一個動態的平衡，使得校園網絡能夠更好的為師生教與學服務，這已成為高職院校當前教學工作中的一個迫切問題。

高等職業院校作為教學、科研、實訓、考核的場所，對于互聯網的應用尤為重要，每天都有大量的數據傳遞、存儲和使用。然而，由于計算機網絡是開放、互動、共享式的，再加上網絡技術本身不是很完善，存在技術缺陷和漏洞，致使網絡易受計算機病毒、木馬以及黑客的侵害。另外，高職院校的大學生，往往具有青年人強烈的好奇心、求知欲以及較強的動手操作能力，經常會利用校園網絡進行一些多角度、多方位的試驗和實踐，這就使校園網絡產生了極大的安全負荷。

校園網絡安全至關重要。通常意義上的校園網絡安全可分為網絡系統安全和信息安全兩部分，主要包含硬件安全、軟件安全、運行服務安全以及數據安全。其中，保證數據安全則是所有安全措施的根本目的。

1 網絡安全面臨的問題

1.1 技術層面

很多網站不注重安全防護，或限于資金匱乏，一些能夠保護網站運行安全的硬件設施沒有配備，導致黑客訪問時如入無人之境。個別站點管理維護人員技術實力不夠，不知道如何應付網絡攻擊或病毒感染，安全策略缺乏。

Internet上網站繁多，陷阱與危險也是眾多，掛馬網站、釣魚網站時有發現。瀏覽部分網站會被有意無意地傳染計算機病毒或木馬，造成許多不良后果。

1.2 管理層面

管理和維護人員方面的投入明顯不足，一個高職院?？梢杂谐砂偕锨_計算機，而專職網絡安全維護人員只有寥寥幾人甚至一個也沒有。

據調查，70%的安全問題來自網絡內部的攻擊。對于高職校園網絡而言，一種可能性是因為學生的好奇心而對校園網絡嘗試進行攻擊。高職學生正處于身心發育成型時期，他們渴望嘗試、期望了解與之相關的一切信息，所以，對于學校網絡服務器的攻擊就成了一種了解校園、證明自我的有效方式。然而這種方式對校園網絡而言，危害極大。

2 網絡安全體系建設

針對高職院校的實際情況，為了保證校園網絡的正常運行，除了增加資金投入外，還應從多方面規劃，從而構建一個安全、開放、穩定的信息平臺，為師生的教學、生活服務。

2.1 成立網絡管理中心，統一規劃、管理、維護校園網絡

成立校園網絡管理中心，負責或指導校園所有網絡設置、布局、安裝、管理、維護等工作。這是解決網絡安全問題的關鍵。網絡管理中心主要完成下列工作：

(1) 規劃全校網絡布局，合理分配網絡資源。

(2) 負責或指導校園網絡的日常管理及維護。包括對各院、系網絡管理員進行專業再培訓；對師生進行網絡安全教育；發布相關信息公告及系統資源下載，對學校機房進行日常管理，等等。

(3) 制定相關管理制度，包括網絡管理員獎懲制度、學生用機制度、用戶上網制度等。

(4) 學校網站的建設及日常管理、維護工作等。

2.2 統一身份認證識別方式，確保有序上網

大學生思想活躍、好奇心強。同時高職院校又是一個集教學、科研、實訓、考核、生活于一體的特殊場合。建立身份識別上網系統，對于規范學生上網行為，凈化網絡環境，防止某些關鍵信息、數據泄露或丟失，都是非常必要的。

要建立校園范圍內一個統一的上網身份認證識別系統，只有通過該系統才能連接上校園網，進而接入Internet。建立全校性的用戶數據庫，包括用戶名、密碼以及學生詳細個人信息。學生必須通過該系統才能上網，同時系統自動生成日志，記錄相關上網時間、用戶名、IP地址、訪問歷史等基本信息。

使用該系統，如同在雜亂無章的市場上確立了一些必備的交易公德，讓學生知道在網絡虛擬社會也不能肆無忌憚、無法無天，減少了一些不必要的資源浪費。這是現代高校管理校園用戶上網的一種流行趨勢。經驗證明，使用統一身份認證識別系統，對于凈化網絡、校園有限資源的合理使用有著很大的推力。

2.3 設置用戶權限分級系統，按最小化原則進行授權

根據不同的用戶需求，創建不同級別的用戶組，讓不同用戶得到不同的服務，從而使校園網得到最大的安全度。如果讓外網“游客”能夠輕而易舉地訪問校園網核心內容，顯而易見，這就是一個安全性能低劣的站點。

在制定安全策略時，應該遵守一條原則：盡可能地給用戶完成任務所需的最少的權限以及最小的服務。唯有如此，才會有最大的安全度。

例如，普通學生權限禁止修改計算機BIOS設置；機房管理員可以更改IP地址；唯有網絡管理中心允許在校園主頁上發布信息，等等。

2.4 防火墻技術

防火墻是絕大多數站點都采用的一種網絡安全保護技術。它是在校園局域網與外部 Internet之間建立了一道安全屏障，發生在內外網間的所有數據流都必須強制性地接受這一保護層的檢查，只有被確認的數據流才允許通過。

防火墻既可以對非授權外網用戶訪問校園網做出限制，也可以禁止校園網用戶對外網中的黑名單網站進行瀏覽。另外，它同時對網絡動作進行記錄，寫入日志中，并會提供相關訪問說明。

通過防火墻，我們可以設立禁止訪問的網站IP，設置敏感關鍵字、禁止訪問色情站點，監控訪問記錄，阻擋部分網絡攻擊，從而降低了校園網的風險。

根據實際比較說明，購買一臺多功能的硬件防火墻產品，就可以極大地提升校園網絡的安全。

2.5 入侵檢測技術

入侵檢測系統(Intrusion Detection System，IDS) 是一種主動檢測技術，它通過分析網絡信息流、服務器日志、程序執行等進程對黑客的攻擊進行監測，而后做出相應的安全策略，比如阻止源地址發出的訪問請求等。使用 IDS技術，能夠發現正在進行的攻擊，并自動做出適當的反應，以此來保護網站服務器。現在的硬件防火墻一般都帶有IDS功能。

2.6 防病毒技術

病毒是現在網絡的一個常見病。按照業界的觀點，防病毒技術總是滯后于病毒技術，所以，最好的防病毒措施是盡可能的做到從源頭上控制病毒的傳染。

硬件方面，一般可以在 Internet接口處安裝硬件病毒網關，對外網數據流進行檢查、過濾，這種方法可以有效地阻止病毒庫中已知的病毒，減少了資源損耗。還可以通過設置防火墻來阻擋攔截病毒。

另外，要對上網用戶進行安全教育培訓，禁止訪問非法或不安全網站，養成良好上網習慣。還可以在校園網的每臺計算機上安裝殺病毒軟件，定期升級病毒庫、定期查殺病毒。對于校園網來說，網絡版的殺毒軟件性價比顯然比單機版的要高得多。

2.7 入侵防御技術

我們可以采取多種技術手段來防御外部的攻擊，將躲避過防火墻及殺毒軟件的非法外部攻擊阻擋、攔截。

2.7.1 虛擬局域網(VLAN)

虛擬局域網(Virtual Local Area Network，VLAN)是由位于不同物理局域網段的網絡設備組成。VLAN所連接的計算機一般來自不同的網段，但是相互之間可以進行直接通信，就好像處于同一網段中一樣。通過VLAN，用戶能方便地在網絡中移動和快捷地組建寬帶網絡，而無需改變任何硬件和通信線路，但可以減少部分網絡攻擊。

我們把整個高職校園網劃分為多個性質相關的虛擬網并隔離，通過技術手段控制各個虛擬區域間的通信，把問題控制在相對較小范圍內的網絡區域內，從而能夠有效地防止危害擴散到整個網絡。

2.7.2 地址翻譯

網絡地址轉換(Network Address Translation，NAT)，它允許內部網段以一個公用IP地址出現在Internet上，是一種把內網地址翻譯成合法外網IP的技術。通過地址轉換，可以隱藏內網上主機的真實IP地址，不讓外部直接訪問對應IP，從而提高網絡的安全性。

2.7.3 蜜罐

蜜罐是一種可以監視觀察攻擊者行為的系統，其目的是為了將攻擊者的注意力從更有價值的系統引開，設置陷阱，增加管理者反應時間，讓其能對網絡入侵及時布控。

可以在一些關鍵部門或站點處設置蜜罐，從而增加系統的安全性。

2.8 信息加密

利用一定的加密算法，將信息轉換成不可直接讀取的秘文，以防止非法用戶獲取和理解原始數據，從而確保數據的保密性。理論上，一種優秀的加密算法，攻擊者可能窮盡一生也不能破解。因此，即使數據被竊取，也毋需擔心信息安全問題，這是一種主動的信息安全防范措施。

信息加密往往用在比較重要的部門或數據，比如院長室、招生辦、教務處、學生處等等。

2.9 創建數據備份，定人、定時、定機器備份

數據備份，是指為防止系統故障導致數據丟失，將全部或部分數據復制到其它的存儲介質的過程。高職校園網絡因為受攻擊或被病毒感染，存在著崩潰的可能性。為了保證能快速的恢復網站的正常運行，數據備份是必不可少的一個環節。為此，應該專人定期對所有服務器資料進行備份，將其備份數據存入專用的存儲區域或其它機器。要注意的是，有時候不僅僅是對數據文件的備份，還要對整個網絡系統進行備份，只有這樣，才能在系統崩潰后快速地恢復原狀。

3 結束語

高職院校的發展離不開網絡，而網絡的發展卻是建立在信息安全基礎之上的。要從技術與管理兩方面著手，盡可能的把高職校園網絡建設成為安全、開放、可擴展的信息平臺。只有信息安全了，才能進一步讓網絡為師生服務，讓信息流暢到校園的每一個角落。

[1]李旭良,任曉黎,李欣.校園網安全管理中的問題與對策[J].白求恩軍醫學院學報.2010.

[2]毛方明.中小型網絡信息安全策略[J].企業技術開發.2009.

[3]蔣建春,楊凡,文偉平等.計算機網絡信息安全理論與實踐教程[M].西安電子科技大學出版社.2005.

[4]劉春生.高職院校網絡安全防范體系的構建[J].職業技術教育.2008.

[5]梁亞聲,王永益.計算機網絡安全技術教程[M].北京：機械工業出版社.2004．

[6]甄靜.高職院校網絡安全現狀及防護策略綜合分析[J].遼寧高職學報.2010.

[7]周宇.校園網絡安全工程的實踐與研究[D].華東師范大學.2007.

[8]侯振興.主動型網絡安全防御技術分析[J].甘肅科技.2006.